[KB3403] Konfigurera min autentiseringsändpunkt för användning med ESET Secure Authentication

OBS:

Den här sidan har översatts av en dator. Klicka på engelska under Språk på den här sidan för att se originaltexten. Om du tycker att något är oklart, kontakta din lokala support.

Problem

Lösning för

ESA skiljer mellan tre klienttyper (t.ex. VPN) baserat på hur de hanterar autentisering i en Active Directory-miljö (AD).

Klienten validerar inte användarnamn och lösenord

Alla VPN bör stödja detta scenario. Om du anger Client Type till Client does not validate username and password när du konfigurerar en RADIUS-klient i ESA:s webbkonsol verifieras båda faktorerna (användarnamn och lösenord som första faktor och OTP som andra faktor) av ESA.

Krav och önskemål

Konfigurera autentiseringen av din VPN-anslutning så att den använder RADIUS-autentisering som pekar på en RADIUS-server som du har konfigurerat i ESA:s webbkonsol.

Hur fungerar det här?

  • SMS-baserade OTP:erVid det första inloggningsförsöket uppmanas användaren att ange ett lösenord. Inloggningsförsöket misslyckas, men användaren får en OTP via SMS. Vid det andra inloggningsförsöket anger användaren den OTP som de fick i lösenordsfältet.
  • Mobile Application OTPs / Hard Token OTPs - Användaren loggar in med både lösenord och OTP på samma gång som passwordOTP.
  • Mobile Application Push - Användare försöker logga in med sina inloggningsuppgifter. En push-notis genereras på användarens mobila enhet. Godkännande av meddelandet resulterar i en lyckad inloggning.
SMS och Push-autentisering

Om en användare har aktiverat både SMS- och push-autentisering fungerar endast SMS.

  • Användare utan 2FA / vitlistad användare: Användaren loggar in med sina inloggningsuppgifter. ESA validerar lösenordet.

Klienten validerar användarnamn och lösenord

Se till att VPN stöder detta och är korrekt konfigurerat. Felaktig konfiguration kan leda till att lösenordsverifieringen hoppas över. Om du ställer in Client Type till Client validates username and password när du konfigurerar en RADIUS-klient i ESA:s webbkonsol, valideras den första faktorn (användarnamn och lösenord) av AD.

Krav på autentisering

Konfigurera en autentisering som pekar mot din server och en RADIUS-autentisering som pekar mot ESA:s RADIUS-server.

Hur fungerar det här?
VPN tillhandahåller två lösenordsfält, det första för användarens lösenord och det andra för OTP.
  • SMS-baserade OTP:er - Det krävs två inloggningsförsök. Först anger användarna sitt lösenord i det första lösenordsfältet och skriver sedan sms utan citattecken. Om användarnamn och lösenord är korrekta visas inloggningsskärmen igen utan något felmeddelande och användaren får en OTP via SMS. Vid det andra inloggningsförsöket anger användaren den mottagna OTP:n i det andra lösenordsfältet.
  • Mobile Application OTPs / Hard Token OTPs - Användaren anger den genererade OTP:n i fältet för det andra lösenordet.
  • Mobile Application Push - Användaren skriver in "empty", "none" användarnamn eller "push" utan citattecken i det fältet. ESA genererar en push-notis och väntar på att den ska godkännas.
  • Användare utan 2FA / vitlistad användare: Användaren lämnar det andra lösenordsfältet tomt eller skriver "none" eller "push" utan citattecken i fältet.

Använd funktionen Access-Challenge i RADIUS

Använd det här alternativet om VPN-servern endast kontaktar ESA RADIUS för att verifiera båda faktorerna (användarnamn och lösenord som den första faktorn och OTP som den andra faktorn), men autentiseringen består av två steg.

Följande RADIUS-klienter stöder funktionen RADIUS Access-Challenge:

  • Junos Pulse (VPN)
  • Linux PAM-modul

Följande RADIUS-klienter bör inte användas med Access-Challenge-funktionen:

  • Microsoft RRAS
Förutsättningar

Konfigurera autentiseringen av din VPN-anslutning så att den använder RADIUS-autentisering som pekar på en RADIUS-server som du har konfigurerat i ESA Web Console.

Hur fungerar det?
Inloggningen har 2 faser, allmän inloggning och inmatning av OTP eller godkännande av push-meddelande. VPN visar en popup-dialogruta eller en annan sida för att ange OTP eller väntar på godkännande av push-meddelande.
  • SMS-autentisering: Användare loggar in med sina inloggningsuppgifter, på nästa skärm eller i popup-dialogrutan anger de den OTP som de fått via SMS.
  • Mobil OTP / hård token: Användare loggar in med sina inloggningsuppgifter, i nästa skärm eller popup-dialog anger de den genererade OTP.
  • Push-autentisering: Användare loggar in med sina inloggningsuppgifter och godkänner det genererade push-meddelandet.
Push-autentisering

Om användaren endast har aktiverat push-autentisering visas ingen efterföljande sida för att begära OTP eller informera om väntande godkännande av push-meddelandet, men användaren måste godkänna push-meddelandet. Om han eller hon inte gör det misslyckas inloggningsförsöket.

  • Användare utan 2FA / vitlistad användare: Användare använder endast inloggningsuppgifter.

Klienten validerar inte användarnamn och lösenord - undvik förening

Använd det här alternativet endast om VPN-servern använder MS-CHAPv2 (där ett sammansatt lösenord inte stöds) och den kontaktar ESA RADIUS för att verifiera båda faktorerna (användarnamn och lösenord som första faktor och OTP som andra faktor).
Krav som ställs

Konfigurera autentiseringen av din VPN-anslutning så att den använder RADIUS-autentisering som pekar på en RADIUS-server som du har konfigurerat i ESA Web Console.

Hur fungerar det här?
  • SMS-baserade OTP:er, Push av mobilapplikationVid det första inloggningsförsöket uppmanas användaren att ange ett lösenord. Inloggningsförsöket misslyckas, men användaren får en OTP via SMS. Vid det andra inloggningsförsöket anger användaren den OTP som de fick i lösenordsfältet.
  • OTP:er för mobilapplikationer / OTP:er för hårda tokens - Användaren behöver inte ange sitt lösenord, utan bara OTP:n. För att minska säkerhetsrisken kan du tvinga fram PIN-kod för mobilapplikationer:
    1. Navigera till Inställningar > Mobilapplikation i ESA:s webbkonsol.
    2. Aktivera Användare måste använda en PIN-kod.
    3. Klicka på Spara.
  • Användare utan 2FA / vitlistad användare: Användare loggar in med sina inloggningsuppgifter. ESA validerar lösenordet.

<föråldrad>

I ESA version 2.8 och tidigare kunde administratören få inkonsekventa inställningar för klienttyperna Client does not validate username and password och Client validates username and password. I ESA 3.0 är sådana konfigurerade klienttyper märkta som <deprecated>. Vi rekommenderar att du använder motsvarande icke-föråldrade version av sådana klienttyper.

Exempel på integrationsguider

Klicka på lämplig länk nedan för att visa integrationsguiden för ESET Secure Authentication för din konfiguration. Integrationsguiderna är utformade för att användas i kombination med funktionsdokumentet ESET Secure Authentication Verifying ESA RADIUS. Observera att vissa av guiderna kan vara föråldrade och fungerar som ett exempel. För en aktuell integrationsguide, kontakta leverantören av din VPN-appliance med avseende på de klienttyper som stöds och som beskrivs ovan.

VPN-, brandväggs- och UTM-slutpunkter:

Slutpunkter för moln och VDI

Förutom de applikationsspecifika integrationsguiderna rekommenderar vi att du även läser onlinehjälpen för ESET Secure Authentication när du implementerar ESET Secure Authentication. Om du planerar att lägga till ESET Secure Authentication i en befintlig applikation med hjälp av ESET Secure Authentication API finns även dokumenten ESET Secure Authentication API User Guide och ESET Secure Authentication SSL Certificate Replacement tillgängliga.

Uppdaterades senast: 2025 skáb 21

Mer resurser

Användarguider

ESET forum

YouTube-videor
ESET Status Portal ESET Technical Support

Befintlig kund?